Spring4Shell ניצלה לרעה בקמפיין דוחף את מיראי

נראה שיישומים מבוססי Java הם המתנה שממשיכה לתת. עם דיווחים מדי פעם על מאמצים מתמשכים לנצל את Log4j , הפגיעות שהייתה בראש כולם בחורף, כעת מגיעות חדשות לניצול פעיל של הפגיעות המשמעותית האחרונה שהתגלתה בספריית Spring Core Java.

תוכנה זדונית מנשקת Mirai בשימוש בקמפיין

מסע התקיפה באמצעות Spring4Shell מנוטר על ידי שתי חברות מחקר אבטחה נפרדות. כעת צוותי המחקר מזהים מכר ותיק המשמש לניצול הפגיעות של Spring4Shell.

שתי חברות האבטחה הבחינו כי נעשה שימוש בגרסה מנשקת של התוכנה הזדונית Mirai , הקשורה בדרך כלל לשימוש בבוטנט, כדי לנצל באופן פעיל את הפגם של Spring4Shell.

כאשר בחנו מערכות פגיעות לקמפיין החדש שדוחף את מיראי להשתמש לרעה ב-Spring4Shell, החוקרים הבחינו במספר תכונות שנמצאו במערכות הרגישות לניצול. אלה כוללים את נוכחות ה-Spring framework, ריצה של תיקונים לפני 5.2.20 וה-JDK המעודכן לגירסאות 9 ומעלה. ידוע שהפגם ב-Spring4Shell אינו משפיע על פלטפורמות המרצות את ערכת הפיתוח הישנה יותר של Java, כגון JDK 8.

Apache Tomcat ותצורות ספציפיות של קשירת פרמטר Spring, המוגדרות לשימוש בסוג פרמטר לא בסיסי, הן בין התכונות הספציפיות גם למערכות פגיעות.

ניסיונות ראשונים לנצל לרעה את הפגם ולדחוף את תאריך מיראי לסוף מרץ

עציצי דבש המופעלים על ידי חוקרים זיהו את ניסיונות החדירה הראשונים ביום האחרון של מרץ 2022.

ההתקפות שפרסו תוכנות זדוניות מנשקות Mirai על מערכות פגיעות ל-Spring4Shell התמקדו בעיקר במטרות הממוקמות בסינגפור ובאזור.

החוקרים מצפים שהתקפות המנסות לנצל את הפגיעות של Spring4Shell רק יגדלו בנפח במהלך החודשים הקרובים, מכיוון שהפגם תועד היטב והפרטים נמצאים שם בחוץ כדי שגורמי האיום יוכלו לקלוט גם הם. התיקון נשאר חיוני כתמיד, אבל בדומה למקרה של Log4j , הבעיה כאן היא לא תיקון אלא המספר העצום של מערכות שמריצות קוד פגיע. במובן זה, אפילו 1% ממערכות לא מתוקנות מתוך מיליונים הוא מספר משמעותי של יעדים פוטנציאליים לניצול.